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(57) Abstract 

The invention relates to a method for authenticating a chip 
card (SIM) in a network for transmitting messages, preferably in 
a GSM network. According to said method, an optionally secret 
algorithm and a secret key are stored in a chip card (SIM). In order 
to authenticate the card, the network or a network component first 
transmits a random number to the chip card. A reply signal is then 
generated in said chip card using the algorithm, the random number 
and the secret key, and transmitted to the network or network 
component where the authenticity of the card is checked. The 
authentication message is formed by dividing the secret key and the 
random number transmitted by the network into at least two parts 
each. A part of the transmitted random number and one or more 
parts of the secret key are encoded with a single or multi-stage, 
preferably symmetrical computation algorithm. A selected part of 
the product of the encoding procedure is transmitted to the network 
in order to issue an authentication reply. 

(57) Zusammenfassung 
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Die Erfindung betrifft ein Verfahren zur Authen- 
tisierung einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichtenubertragung, vorzugsweise in einem GSM-Netzwerk, 
bei dem in einer Chipkarte (SIM) ein gegebenenfalls geheimer Algorithmus sowie ein geheimer Schlussel gespeichert ist, wobei zur 
Authentisierung zunachst vom Netzwerk oder einer Netzwerkkomponente eine Zufallszahl an die Chipkarten ubertragen wird, in der 
Chipkarte mittels des Algorithmus, der Zufallszahl und des geheimen Schlussels ein Antwortsignal erzeugt wird, das an das Netzwerk bzw 
die Netzwerkkomponente ubermittelt wird, urn dort die Authentizitat der Karte zu iiberprufen. GemaB der Erfindung wird zur Bildung der 
Authentisierungsnachricht sowohl der geheime Schlussel als auch die vom Netzwerk ubertragene Zufallszahl in jeweils wenigstens zwei 
Teile aufgeteilt, wobei ein Teil der ubertragenen Zufallszahl und ein oder mehrere Teile des geheimen Schlussels mittels eines ein- oder 
mehrstufigen, vorzugsweise symmetrischen Berechnungsalgorithmus verschliisselt werden. Zur Ausgabe einer Authentisierungsantwort 
wird ein auswahlbarer Teil des Verschlusselungsergebnisses an das Netzwerk Ubertragen. 
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Verf ahren zur Authentisierung einer Chipkarte innerhalb eines 
Nachrichtentibertragungs-Netzwerks 



5 Die Erfindung betrifft ein Verf ahren zur Authentisierung einer Chipkarte in 
einem Netzwerk zur Nachrichteniibertragung, vorzugsweise in einem GSM- 
Netzwerk, nach dem Oberbegriff des Anspruchs 1. 

Bei GSM-Systemen ist es bekannt, dalS sich zum Gebrauch der Chipkarte 
10 (Subscriber Identity Module, SIM) zunachst der Benutzer iiblicherweise mit- 
tels einer personlichen Identifikationsnummer (PIN) als zur Benutzung be- 
rechtigt ausweisen muB. Urn an dieser Stelle Mifibrauch zu vermeiden, ist es 
fur die PIN-Eingabe bekannt, einen Fehlerzahler vorzusehen, der nach Uber- 
schreiten einer zulassigen Anzahl von Fehlversuchen den weiteren Gebrauch 
15 der Karte unterbindet. 



Eine weitere systemrelevante Sicherheitsmafinahme besteht in der Authen- 
tisierung der Karte gegemiber dem Mobilfunknetz. Dazu sind in der Karte 
ein von aufien nicht zuganglicher geheimer Schliissel sowie ein ebenf alls von 

20 aufien nicht zuganglicher Algorithmus abgelegt. Fxir eine Authentisierung 
wird vom Netzwerk bzw. einer Netzwerkkomponente eine Zufallszahl er- 
zeugt und der Karte mitgeteilt. Aus der Zufallszahl und dem geheimen 
Schliissel berechnet sodann die Karte mittels des in der Karte vorhandenen 
Algorithmus eine Antwort, welche sie dem Netzwerk mitteilt. Diese Ant- 

25 wort wird im Netzwerk analysiert und es wird, bei positivem Ergebnis, Zu- 
gang zu den Netzwerkfunktionen erlaubt. Die entsprechende Vorgehens- 
weise ist in den einschlagigen GSM-Spezifikationen beschrieben. 

Fiir ein wie vorstehend gesichertes Netz besteht die Gef ahr, dafi durch An- 
30 griffe auf den zur Authentisierung verwendeten Algorithmus das Netzwerk 
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beispielsweise in einem Computer simuliert werden kann, indem z. B. aus- 
gewahlte „Zuf allszahlen" nach dem standardisierten Protokoll an die SIM- 
Karte ubermittelt werden und daraus, nach mehrfachen Authentisierungs- 
versuchen, der Geheimschliissel der Chipkarte ermittelt wird. 1st zusatzlich 
5 der Algorithmus der Karte bekannt, konnen nach Ermittlung des geheimen 
Schliissels wesentliche Funktionselemente der Karte simuliert bzw. dupli- 
ziert werden. 

Es ist deshalb Auf gabe der Erfindung, ein sicheres Verfahren zur Authenti- 
10 sienmg einer Chipkarte in einem Nachrichtensystem anzugeben, bei dem, 
wie beispielsweise im GSM-Netz iiblich, eine Riickmeldung tiber das Au- 
thentisierungsergebnis an die teilnehmende Chipkarte nicht erfolgt. 



Diese Auf gabe wird gemafi der Erfindung ausgehend von den Merkmalen 
15 des Oberbegriffs des Anspruchs 1 durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost. 



Vorteilhafte Ausgestaltungen der Erfindung sind in den abhangigen An- 
spriichen angegeben. 

20 

Die Erfindung sieht vor, zur Bildung der Authentisierungsnachricht sowohl 
aus dem geheimen Schliissel als auch aus der vom Netzwerk xibertragenen 
Zuf allszahl jeweils wenigstens zwei Teile zu bilden, wobei einer der Teile 
der iibertragenen Zuf allszahl und einer oder mehrere Teile des geheimen 
25 Schliissels mittels eines ein- oder mehrstufigen, vorzugsweise symmetri- 
schen Berechnungsalgorithmus verschliisselt werden. Zur Ausgabe einer 
Authentisierungsnachricht wird ein auswahlbarer Teil des nach dem Au- 
thentisierimgsalgorithmus berechneten Ergebnisses an das Netzwerk iiber- 
tragen. 
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Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi in der gleichen 
* Art und Weise auch der Kanalkodierungsschlussel erzeugt wird, d.h. auch 

dort ist, beispielsweise bei einer Zweiteilung des Schliissels und der Zufalls- 
5 zahl vorgesehen, dafi entweder der erste oder der zweite Teil der ubertrage- 
nen Zufallszahl mit dem ersten und/ oder zweiten Teil des geheimen Schliis- 
sels mit einem ein- oder mehrstuf igen Algorithmus verknupf t werden, urn 
einen Kanalkodierungsschlussel zu erhalten. Vorzugsweise werden fur die 
Bildung der Authentisierungsnachricht und des Kanalkodierungsschliissels 
10 jeweils verschiedene Teile der vom Netzwerk erhaltenen Zufallszahl ver- 
wendet. 



Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi der in 
der Karte abgelegte geheime Schlussel sowie die Zufallszahl, welche vom 

15 Netzwerk an die Karte gesendet wird, in gleich lange Teile auf geteilt wer- 
den. Damit kann in beiden Fallen der gleiche Berechnungsalgorithmus ver- 
wendet werden. Die Auf teilung der Zufallszahl bzw. des geheimen Schliis- 
sels kann in der Weise erfolgen, dafi eine einfache Teilung "in der Mitte" er- 
folgt oder sich iiberlappende Teilbereiche entstehen. Ebenso ist eine Teilung 

20 denkbar, in der die Summe der einzelnen Teile kleiner ist als die Bit-Lange 
der Zufallszahl bzw. des geheimen Schliissels. Gemafi einer weiteren Varian- 
te konnen nach einem vorbestimmten Muster oder pseudozufallig jeweils 
eine vorgegebene Anzahl von Bits der Zufallszahl bzw. des geheimen 
Schliissels zu jeweils einem Schlussel- bzw. Zufallszahlenteil zusammenge- 

25 fafit werden. 



Als weitere vorteilhafte Ausgestaltung der Erfindung konnen als Berech- 
nungsalgorithmen zur Authentisierung sowie zur Kanalkodierung DES- 
Algorithmen verwendet werden. 
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Eine andere vorteilhaf te Variante der Erfindung sieht vor, dafi zur Berech- 
nung der Authentifizierungsparameter und der Kanalkodierungsschliissel 
der vorzugsweise einstufige IDEA-Algorithmus verwendet wird. 

5 

Alternativ konnen zur Berechnung der Authentifizierungsparameter und 
der Kanalkodierungsschliissel Komprirrrierungsalgorithmen, vorzugsweise 
kryptografische Kompriiriierungsalgorithmen verwendet werden, deren 
Ausgabewerte eine geringere Lange als die Eingabeparameter aufweisen. 

10 

Zur Erhohung der Sicherheit ist es vorteilhaf t, einen mindestens zweistuf i- 
gen Berechnungsalgorithmus zu verwenden, wobei sich ein Triple-DES- 
Algorithmus als besonders sicher erweist. Bei diesem Algorithmus wird zu- 
nachst mit einem ersten Teil des Schliissels und einem Teil der Zuf allszahl 

15 verschliisselt, anschliefiend wird eine Entschliisselung des Ergebnisses mit 
dem zweiten Teil des Schliissels vorgenommen, um schliefilich wieder mit 
dem ersten Teil des Schliissels eine weitere Berechnung auszufuhren. Bei der 
letzten Verschliisselung mit dem ersten Teil des Schliissels kann in vorteil- 
hafter Weise, insbesondere bei einer Schliisselaufteilung in drei Schliisseltei- 

20 le, ein neuer, dritter Schliissel verwendet werden. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt sich, wenn die 
Auswahl des ersten oder zweiten Teils der Zuf allszahl fiir die Authentisie- 
nmg bzw. die Berechnung der Kanalkodierung im Wechsel erf olgt, wobei 
25 dieser Wechsel zuf allig bzw. pseudozuf allig ausgefiihrt wird und die Aus- 
wahl in der Karte und im Netzwerk auf die gleiche Weise erf olgt. 

Im f olgenden wird die Erfindung an Hand der Figuren 1 bis 3 naher be- 
schrieben. 
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Fig. 1 zeigt den Ablauf der kryptographischen Funktionen des SIM im GSM- 
Netz. 

5 Fig. 2 zeigt ein Blockschaltbild der Triple DES-Verschliisselung. 

Fig. 3 zeigt Beispiele fur die Aufteilung des geheimen Schliissels bzw. der 
Zufallszahl 

10 Bei dem in Fig. 1 dargestellten Ablauf wird vorausgesetzt, dafi der iibliche, 
vorhergehende Vorgang der PIN-Verifizierung abgeschlossen ist. Im An- 
schluJS daran wird von der mobilen Einheit, in der sich die Karte SIM befin- 
det, eine Nachricht an das Netzwerk gesendet, welche eine IMSI- 
(international mobile subscriber identity) Information bzw. eine TMSI- 

15 (temporary mobile subscriber identity) Information enthalt. Aus der IMSI 
bzw. TMSI wird im Netzwerk nach einer vorgegebenen Funktion oder mit- 
tels einer Tabelle ein geheimer Schliissel Ki bestimmt. Derselbe Schliissel ist 
auch in der Chipkarte SIM in einem nicht zuganglichen Speicherbereich ab- 
gelegt. Der geheime Schliissel wird fiir die spatere Verifizierung des Au- 

20 thentisierungsvorganges benotigt. 

Das Netzwerk initiiert sodann den Authentisierungsvorgang, indem es eine 
Zufallszahl RAND berechnet und diese iiber die Luftschnittstelle an die 
Chipkarte SIM iibertragt. 

25 

In der Chipkarte wird daraufhin mittels eines Authentisienmgsalgorithmus 
aus dem geheimen Schliissel Ki und der Zufallszahl RAND ein Authentisie- 
rungsparameter SRES gebildet, der iiber die Luftschnittstelle wiederum an 
das Netzwerk iibertragen wird. Erfindungsgemafi werden hierbei aus der 
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Zuf allszahl RAND mindestens zwei Zufallszahlen RANDi unci RAND2 ab- 
geleitet. Die Zufallszahlen RANDi und RAND2 konnen durch Teilung oder 
eine Auswahl aus der Zuf allszahl RAND bzw. durch einen Berechnungsal- 
gorithmus gewonnen werden. 

5 

Die Authentisierung erfolgt im Ausfiihrungsbeispiel nach Fig. 1 mit einem 
zweistuf igen Algorithmus. Dabei wird, wie in Fig. 1 angedeutet, zunachst 
der erste Teil der Zufallszahl RANDi mit einem ersten Teil Ki des ebenf alls in 
zwei Teile auf geteilten Schlussels Ki verschlusselt. Das Ergebnis dieser ersten 
10 Stufe wird anschlieSend in einer zweiten Stufe mit dem zweiten Teil des 

Schlussels K2 verschlusselt. Selbstverstandlich kann zur Berechnung mit dem 
Authentisierungsalgorithmus zunachst auch der zweite Teil der Zufallszahl 
RAND2 verwendet und die Reihenf olge der Verwendung der ersten und 
zweiten Schliisselteile Ki und K2 verandert werden. 

15 

Im Netzwerk wird wahrenddessen auf dieselbe Weise wie in der Karte mit- 
tels des Authentisierungsalgorithmus und der Zufallszahl RAND (RANDi, 
RAND2) sowie dem geheimen Schliissel Ki (Ki, K2) ebenfalls ein Authentisie- 
rungsparameter SRES' gebildet. Der Parameter SRES' wird im Netzwerk so- 

20 dann mit dem von der Karte erhaltenen Authentisierungsparameter SRES 
verglichen. Stinunen beide Authentisierungsparameter SRES' und SRES 
iiberein, wird der Authentisierungsvorgang erfolgreich abgeschlossen. 
Stimmen die Authentisierungsparameter nicht iiberein, gilt die Karte des 
Teilnehmers als nicht authentisiert. Es sei an dieser Stelle angemerkt, dafi zur 

25 Bildung von SRES bzw. SRES' auch nur Teile aus dem durch die Verschlus- 
selung erhaltenen Ergebnisses verwendet werden konnen. 

In der gleichen Weise wie die Erzeugung der Authentisierungsparameter 
erfolgt in der Karte und im Netzwerk die Generierung eines Schlussels Kc 
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fur Kanalkodierung fiir die Daten- und Sprachiibertragung. Vorzugsweise 
wird dabei als Eingangsparameter der bei der Authentisierung nicht ver- 
wendete Teil der Zuf allszahl RAND verwendet. 

5 Figur 2 zeigt ein vorteilhaftes Ausfiihrungsbeispiel, demgemaC die Berech- 
nung mit dem Authentisierungsalgorithmus und/oder die Kanalcodierung 
durch eirten Triple-DES-Algorithmias ausgefiihrt wird. Nach diesem Algo 
rithmus wird zunachst ein Teil RANDi oder RAND2 der Zuf allszahl mit ei- 
nem ersten Schliisselteil Ki verschltisselt. Im nachsten Schritt erf olgt eine 
10 Entschliisselung mit K2. Das Ergebnis wird danach wieder mit Ki oder bei 
einer Aufteilung in mehrere Zufallszahlen-/Schlusselteile mit einem dritten 
Teil des Schlussels verschliisselt. Die Bildung der Kanalcodierung erfolgt auf 
die gleiche Weise. Im Netzwerk werden jeweils die entsprechenden Algo- 
rithmen verwendet. 

15 

Ohne Beschrankung der Allgemeinheit wurde bei der Beschreibung der Aus- 
fiihrungsbeispiele gemafi den Fig. 1 und 2 von einem zwei- bzw. dreistuf i- 
gen, symmetrischen VerscWusselungsalgorithmus ausgegangen. Selbstver- 
standlich kann der Erfindxmgsgedanke, welcher in der Auf teilung der Zu- 

20 f allszahl sowie des geheimen Schlussels besteht, auch mit anderen, gangigen 
Verschliisselungs- bzw. Berechnungsfilgorithmen durchgefuhrt werden. Bei- 
spielhaft sei hier neben den DES-Algorithmen (A3; A8) IDEA genannt. Die 
genannten Algorithmen konnen auch einstuf ig ausgefiihrt sein, wobei vor- 
zugsweise unterschiedliche Teile des Schlussels imd/oder der Zufallszahl 

25 fiir die Authentisierung und die Erzeugung des Kanalkodienmgsschliissels 
Kc erzeugt werden. 

In den Figuren 3a - e sind Beispiele fiir mogliche Aufteilxmgen des geheimen 
Schlussels Ki bzw. der Zufallszahl RAND angegeben. 
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Die Figur 3a zeigt einen Schliissel Ki bzw. eine Zuf allszahl RAND mit einer 
Lange von 128 bit. 

In der Figur 3b ist eine Auf teilung in zwei gleiche Teile Ki und K2 (RANDi, 
RAND2) dargestellt, wobei die Auf teilung mittig erf olgt. Teil 1 enthalt bit 1 
bis bit 64, Teil 2 enthalt bit 65 bis bit 128. In Figur 3c ist eine iiberlappende 
Auf teilung angegeben und in der Figur 3d ist eine Aufteilung dargestellt, bei 
der jeweils die ungeradzahligen bits dem Teil 1 und die geradzahligen bits 
dem Teil 2 zugeordnet sind. Figur 3e zeigt schliefilich eine Aufteilung, bei 
der die Sunune der Binarstellen der Teile 1 und 2 kleiner ist als die Binarstel- 
len des Ausgangsschliissels bzw. der Ausgangszuf allszahl. 
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Patentanspruche 

1. Verfahren zur Authentisierung einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichteniibertragung, vorzugsweise in einem GSM- 
5 Netzwerk, bei dem in einer Chipkarte (SIM) ein Algorithmus sowie 

ein geheimer Schliissel gespeichert sind, wobei zur Authentisierung 

- zunachst vom Netzwerk oder einer Netzwerkkomponente eine Zu- 
fallszahl (RAND) an die Chipkarte iibertragen wird, 

- in der Chipkarte daraus mittels des Algorithmus und des geheimen 
10 Schliissels (Ki)ein Antwortsignal (SRES) erzeugt und an das Netzwerk 

bzw. die Netzwerkkomponente iibermittelt wird, 
dadurch gekennzeichnet, dafi 

- zur Bildung eines Authentisierungsparameters der geheime Schliis- 
sel (Ki) sowie die Zuf allszahl (RAND) in jeweils wenigstens zwei Teile 

15 (Ki, K 2; RANDi, R AND 2 ) auf geteilt werden, 

- einer der Teile (RANDi, RAND2) der iibertragenen Zufallszahl 
(RAND) mit Hilf e eines oder mehrerer Teile (Ki, K2) des geheimen 
Schliissels (Ki) mittels eines ein- oder mehrstufigen, vorzugsweise 
symmetrischen Algorithmus verschliisselt werden, und 

20 - eine vorgegebene Anzahl von Bits aus dem Verschliisselungsergeb- 

nis ausgewahlt und als Signalantwort (SRES) an das Netzwerk iiber- 
tragen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ge- 
25 heime Schliissel (Ki) und/ oder die Zufallszahl (RAND) in zwei Teile 

auf geteilt werden. 



3. 



Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dafi ein 
Teil der iibertragenen Zufallszahl (RAND) sowie ein und/ oder weite- 
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re Teile des geheimen Schliissels (Ki) zur Berechnung eines Kanalko- 
dierungsschliissels (Kc) mittels eines ein- oder mehrstufigen Algo- 
rithmus verwendet werden, wobei zumindest ein Teil des Berech- 
nungsergebnisses als Kanalkodierungsschliissel (Kc) verwendet wird. 

Verfahren nach einern der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi der Schliissel (Ki) sowie die Zuf allszahl (RAND) in zwei 
gleich lange Teile (Ki, K2/RAND1, RAND2) aufgeteilt werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dalS zur Berechnung der Authentifizierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschlussels (Kc) DES- 
Algorithmen verwendet werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) der, vorzugs- 
weise einstufige, IDEA-Algorithmus verwendet wird. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) ein Komprimie- 
rungsalgorithmus verwendet wird, dessen Ausgabewert eine geringe- 
re Lange als der Eingabeparameter aufweist. 

Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekennzeich- 
net, dafi die Berechnung in einem mindestens zweistufigen Algorith- 
mus erfolgt. 
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9. Verf ahren nach einem der Anspriiche 1 bis 8, dadurch gekennzeich- 
net, dafi als Verschliisselungsalgorithmus ein Triple-DES- Algorithmxis 
verwendet wird, bei dem zunachst mit dem ersten Teil (Ki) des 
Schliissels (Ki) verschliisselt, anschliefiend mit dem zweiten Teil (K2) 
des Schliissels (Ki) entschliisselt und darauf wieder mit dem ersten 
Teil (Ki) oder einem dritten Teil des Schliissels (Ki) verschliisselt wird. 

10. Verfahren nach einem der Anspriiche 1 bis 9, dadurch gekennzeich- 
net, dafi eine Auswahl des ersten dder zweiten Teils der Zuf allszahl 
(RAND) im zuf alligen oder pseudozuf alligen Wechsel in der Karte 
und im Netzwerk in gleicher Weise erfolgt. 
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